通过

启用 Azure 虚拟桌面中的屏幕捕获保护

  • 项目

屏幕捕获保护以及水印通过一组特定的操作系统 (OS) 功能和应用程序编程接口 (API) 来帮助防止客户端终结点上的敏感信息被捕获。 启用屏幕捕获保护时,将在屏幕截图和屏幕共享中自动屏蔽远程内容。 可以使用会话主机上的组策略配置屏幕截图保护。

屏幕捕获保护有两种受支持的方案,具体取决于所使用的 Windows 版本:

  • 在客户端上屏蔽屏幕捕获:会话主机指示支持的远程桌面客户端为远程会话启用屏幕捕获保护。 此选项可防止在远程会话中运行的应用程序的客户端进行屏幕截图。

  • 在客户端和服务器上屏蔽屏幕捕获:会话主机指示支持的远程桌面客户端为远程会话启用屏幕捕获保护。 此选项可防止在远程会话中运行的应用程序的客户端进行屏幕截图,但也阻止会话主机内的工具和服务捕获屏幕。

启用屏幕捕获保护后,用户无法使用本地协作软件(如 Microsoft Teams)共享其远程桌面窗口。 在 Teams 中,本地 Teams 应用和媒体优化的 Teams 都无法共享受保护的内容。

提示

  • 若要提高敏感信息的安全性,还应禁用剪贴板、驱动器和打印机重定向。 禁用重定向有助于防止用户从远程会话复制内容。 若要了解支持的重定向值,请参阅设备重定向

  • 若要阻止使用其他屏幕捕获方法(例如使用物理相机拍摄屏幕照片),可以启用水印,其中管理员可以使用 QR 码来跟踪会话。

先决条件

  • 你的会话主机必须运行以下 Windows 版本之一才能使用屏幕捕获保护:

  • 用户必须使用 Windows 应用或远程桌面应用连接到 Azure 虚拟桌面才能使用屏幕截图保护。 下表显示了支持的方案。 如果用户尝试使用不同的应用程序或版本进行连接,则系统会拒绝连接并显示包含代码 0x1151 的错误消息。

    应用 版本 桌面会话 RemoteApp 会话
    Windows 上的 Windows 应用 任意 是。 客户端设备 OS 必须为 Windows 11版本 22H2 或更高版本。
    Windows 上的远程桌面客户端 1.2.1672 或更高版本 是。 客户端设备 OS 必须为 Windows 11版本 22H2 或更高版本。
    Azure 虚拟桌面应用商店应用 任意 是。 客户端设备 OS 必须为 Windows 11版本 22H2 或更高版本。

  • 若要配置组策略,需要:

    • 属于“域管理员”安全组成员的域帐户。

    • 一个包含要配置的设备的安全组或组织单位 (OU)。

启用屏幕捕获保护

屏幕捕获保护在会话主机上配置,并由客户端执行。 使用组策略配置设置。

若要使用组策略配置屏幕截图保护,请执行以下操作:

  1. 按照以下步骤使 Azure 虚拟桌面的管理模板可供组策略使用。

  2. 在你用于管理 Active Directory 域的设备上打开“组策略管理”控制台。

  3. 创建或编辑面向提供你要配置的远程会话的计算机的策略。

  4. 导航到“计算机配置”>“策略”>“管理模板”>“Windows 组件”>“远程桌面服务”>“远程桌面会话主机”>“Azure 虚拟桌面”。

    显示组策略中的 Azure 虚拟桌面选项的屏幕截图。

  5. 双击策略设置“启用屏幕剪辑保护”将其打开,然后选择“启用”

    显示组策略中的屏幕截图保护设置的屏幕截图。

  6. 从下拉菜单中,根据需求从“阻止在客户端进行屏幕截图”或“阻止在客户端和服务器上进行屏幕截图”中选择要使用的屏幕截图保护方案,然后选择“确定”

  7. 确保将策略应用于提供远程会话的计算机,然后重启这些计算机,使设置生效。

验证屏幕截图保护

若要验证屏幕截图保护是否有效,请采取以下操作:

  1. 使用支持的客户端连接到远程会话。

  2. 在 Teams 通话或会议中截取屏幕截图或共享你的屏幕。 内容应该会被屏蔽或隐藏。 若要使更改生效,任何现有会话都需要注销并重新登录。

相关内容

  • 启用水印,管理员可以使用 QR 码来追踪会话。

  • 安全最佳做法中了解如何保护 Azure 虚拟桌面部署。